mako
פרסומת
דיגיטלחדשות

פועלת בשקט ומתחת לרדאר: קבוצת הסייבר האיראנית שמאיימת על ישראל

בזמן שהעיניים נשואות למו"מ בין טהרן לוושינגטון, מתחת לפני השטח מתנהלת מלחמת סייבר בלתי פוסקת, כאשר קבוצות תקיפה איראניות פועלות נגד יעדים ביטחוניים ואזרחיים בישראל. מומחי סייבר ישראלים ממפים את הקבוצות השונות ומסבירים מה דפוסי הפעילות של MuddyWater, המזוהה עם משרד המודיעין האיראני: "יש לה נוכחות שקטה ומתמשכת, הצליחה לחדור לארגון במשך שנה בלי שיעלו עליה"

דנה גוטרזון
דנה גוטרזון
mako
פורסם: | עודכן:
רחוב בטהרן
רחוב בטהרן | צילום: Vahid Salemi, ap
הקישור הועתק

בזמן שכולנו עוקבים בדריכות אחרי התקדמות המו"מ בין איראן לארה"ב ותוהים אם לסדר שוב את הממ"ד או המקלט, מתחת לפני השטח ממשיכה להתנהל כל הזמן מערכת הסייבר. גם בתקופות של הפסקת אש, הפעילות בזירה הזו לא נעצרת, והיא נמשכת ללא תלות במצב הגיאו-פוליטי. שמענו בעיקר על קבוצת ההאקרים האיראנית חנדלה (Handala), שהצליחה לפגוע גם באישים ישראלים מוכרים, ביניהם נפתלי בנט, איילת שקד, הרצי הלוי ויואב גלנט, וכן בבכירי המכון לביטחון לאומי (INSS), אבל היא לא ממש לבד.

מאחורי התקיפות המיוחסות לאיראן עומדת לא קבוצה אחת, אלא מערכת שלמה של צוותי סייבר שפועלים בשליחויות מדינתיות. חלקן מתמקדות בריגול שקט, אחרות בהרס מכוון או בהשפעה תודעתית. בישראל מורגש שילוב של כל השיטות: חדירה למערכות, פגיעה בארגונים אזרחיים ויצירת "רעש" ציבורי דרך הדלפות וקמפיינים ברשת. להלן הקבוצות הבולטות ביותר בזירה הישראלית, כפי שממפה אותן רותם צדוק, Director of Security Ops & Forensics בחברת הסייבר ורוניס (Varonis).

ריגול ממושך ושקט

  • OilRig (APT34): קבוצה ותיקה שממוקדת בארגונים בעלי חשיבות אסטרטגית: ממשלה, פיננסים, אנרגיה ותקשורת. לעתים היא מנצלת ספקים ושותפים כדי להגיע ליעדים רגישים יותר בישראל.

  • APT33: מתמקדת בתעשיות ביטחוניות, תעופה ואנרגיה. בישראל האיום שלה נתפס כעניין מודיעיני-אסטרטגי ארוך טווח, פחות כתקיפה "פומבית".

  • APT39: קבוצה שמתמקדת בנתונים על אנשים: תקשורת, נסיעות וקשרים אישיים. בישראל המשמעות היא ניסיון ליצור תמונת מודיעין על אנשי מפתח, תנועות וקשרים.

פגיעה דרך אנשים - לא דרך שרתים

  • APT35 (Charming Kitten): אחת הקבוצות הפעילות ביותר נגד יעדים ישראליים "אנושיים": חוקרים, אנשי ביטחון, עיתונאים ודיפלומטים. היא נשענת על התחזות, קשר אישי וסבלנות – לעתים חודשים – עד להשגת גישה.

  • APT42: מתמקדת בפישינג ממוקד (Spear Phishing) – שליחת הודעות מזויפות המותאמות אישית למטרה – נגד בכירים ישראלים, כולל ניסיונות השתלטות על חשבונות מייל ורשתות חברתיות. הדגש כאן הוא על זהות המטרה ולא על תשתית טכנולוגית.

הרס, כופרה והשפעה תודעתית

  • Agrius: מזוהה עם מתקפות הרסניות, כולל מחיקת מערכות במסווה של מתקפת כופרה. בישראל היא נתפסה כקבוצה שמטרתה פגיעה תפעולית והרתעה – ולא רווח כספי.

  • Moses Staff: דוגמה מובהקת ל"כופרה פוליטית": הצפנת מערכות והדלפת מידע ללא דרישת כופר, בעיקר נגד חברות ישראליות. המטרה היא יצירת מבוכה, לחץ ציבורי ופגיעה באמון.

תשתיות אזרחיות - האיום שמטריד את הציבור

  • CyberAv3ngers: קבוצה שמכוונת למערכות תעשייתיות: מים, אנרגיה ובקרה. בישראל המשמעות ברורה – ניסיון לפגוע בשירותים אזרחיים ולשדר פגיעה בריבונות ובשגרה.

פרסומת

למרות השמות השונים, יש מספר מאפיינים חוזרים בקבוצות האלו: פעילות בשליחות מדינתית, טשטוש זהויות, שילוב בין ריגול, הרס ותודעה, ומיקוד בישראל כיעד בעל ערך מדיני וביטחוני.

נוכחות שקטה ומתמשכת: קבוצת התקיפה האיראנית שהצליחה לחדור לארגון במשך שנה

קבוצה נוספת בולטת בזירה היא MuddyWater, המיוחסת למשרד המודיעין האיראני (MOIS), ושייכת לקטגוריית הריגול הממושך והשקט. לפי הערכות חוקרים, מדובר בתת-קבוצה שמשמשת כזרוע תקיפה של משמרות המהפכה האיראניים.

מדובר בקבוצת APT (Advanced Persistent Threat) – קבוצת תקיפה מתקדמת ומתמשכת שפועלת במימון מדינתי. בניגוד לקבוצות עצמאיות, כאן מדובר במשאבים משמעותיים, קמפיינים מורכבים ומטרות רחבות. "המשימה נשארת זהה – להשיג מידע שיכול לייצר לאיראן יתרון מודיעיני, מבצעי וטכנולוגי", מסביר ל-mako צדוק.

מחקר חדש של חברת Rapid7 חושף כי הקבוצה אימצה טקטיקה של "טשטוש עקבות" (Muddying Tracks): היא משתמשת בגרסאות של כופרת ה-Chaos (המכונה גם Yashma) כדי להסוות את פעילותה. השימוש בכופרה נועד לגרום למתקפה להיראות כפשע סייבר רגיל למטרות רווח, בעוד שבפועל מדובר בפעילות מדינתית שנועדה להסוות גניבת מידע או לגרום להרס תשתיות תחת "מסך עשן" פלילי. בין היתר, התוקפים השתמשו בטקטיקות של הנדסה חברתית דרך פלטפורמת Microsoft Teams כדי לחדור לרשתות, תוך התמקדות בגניבת מידע והתבססות ארוכת טווח במקום בהצפנת קבצים למטרות רווח.

פרסומת

הפעילות של הקבוצה גלובלית. לפי הערכות, היא פועלת בהודו, מצרים, בחרין, סעודיה ומדינות המפרץ, לצד אירופה וארה"ב. היעדים אינם מקריים: סקטורים רגישים כמו תעופה, אנרגיה גרעינית, בריאות והגירה. "המטרה אינה רק כסף, אלא בעיקר איסוף מידע אסטרטגי וריגול תעשייתי", אומר צדוק.

רותם צדוק, ורוניס
רותם צדוק, Director of Security Ops & Forensics בחברת Varonis | צילום: ורוניס

באחד הארגונים שנחקרו, התברר שהתוקפים שהו בתוך המערכת במשך כשנה לפני שנחשפו. "לא חדירה נקודתית – אלא נוכחות שקטה ומתמשכת", מציין צדוק. החקירה חשפה שימוש בכלים ייעודיים לצד כלים בקוד פתוח. "גם אם עלו עליהם, לא ניתן להעיף אותם מהרשת בקלות. לעתים לוקח חודש שלם רק למפות את היקף החדירה", הוא אומר.

כיצד פועלת MuddyWater?

מודל הפעולה של הקבוצה נשען במידה רבה על אוטומציה וסריקת חולשות באמצעות כלים כמו שודאן (Shodan) – מנוע חיפוש הסורק מכשירים המחוברים לרשת (IoT) ומאתר פרצות אבטחה בשרתים, מצלמות ומערכות בקרה. ברגע שמתגלית חולשה, הם שותלים "דלת אחורית" לגישה קבועה.

פרסומת

בצ'ק פוינט מזהים כי אחת ההתפתחויות הבולטות של התקופה האחרונה היא השימוש בבוטנט (Botnet) – רשת של מחשבים שנפרצו ונשלטים מרחוק – מסוג Tsundere (המכונה גם DinDoor), המשמש להפעלה של קוד זדוני על מערכות שנפרצו. הבוטנט משתמש בסקריפטים מבוססי JavaScript ו-Node.js (סביבות הרצה פופולריות לקוד), ובמקרים מסוימים עובר לשימוש ב-Deno כדי לעקוף מנגנוני זיהוי. Deno היא סביבה מודרנית שמאפשרת לתוקפים "לחמוק מתחת לרדאר" של כלי הגנה ישנים שאינם מכירים את דפוסי הפעולה שלה.

יכולת זו מאפשרת לתוקפים גמישות תפעולית והמשכיות גם כאשר חלק מהתשתית מזוהה. בנוסף, נצפה שימוש בכלים לגיטימיים כמו rclone – תוכנה חוקית לניהול קבצים בענן – המשמשת כאן ל"הזלגת מידע" (Exfiltration) לשרתים חיצוניים. השימוש בכלים חוקיים מקשה על מערכות האבטחה להבחין בין פעילות עסקית תקינה לבין גניבת מידע, מה שמחזק את ההערכה כי מדובר בריגול מתמשך ולא תקיפה חד-פעמית.

במקביל, מזהים בצ'ק פוינט קשר ל-CastleLoader (המכונה גם FakeSet), המשמש כרכיב הורדה (Downloader) בשרשראות הדבקה. מדובר בקוד ראשוני שתפקידו לחדור למערכת ו"להוריד" אליה נוזקות מורכבות יותר. הוא פועל במודל של Malware-as-a-Service (MaaS) – מודל עסקי שבו קבוצות פשיעה מיומנות "משכירות" את תשתיות התקיפה והנוזקות שלהן לגורמים אחרים. השימוש בו מצביע על מעבר לגישה מודולרית, המשלבת בין יכולות מדינתיות לשירותים הזמינים בשוק החופשי של הדארק-ווב.

"אנו רואים יותר ויותר שחקנים מדינתיים המאמצים כלים ושיטות פעולה מעולם פשיעת הסייבר, מה שמטשטש את הגבולות ומקשה על ייחוס מדויק", אומר סרגיי שוקביץ', מנהל קבוצת מודיעין איומים בצ'ק פוינט. "MuddyWater פועלת בגישה המבוססת על התמדה והסתרה. השילוב בין טכניקות מדינתיות לכלים זמינים מדגיש את הצורך בגישה מבוססת התנהגות לזיהוי איומים".

פרסומת
סרגיי שוקביץ', מנהל במחלקת המודיעין של צ'ק פוינט
סרגיי שוקביץ', מנהל במחלקת המודיעין של צ'ק פוינט | צילום: צ'ק פוינט

בניגוד לקבוצות כמו חנדלה שפועלות בצורה רועשת ומכוונות לנזק מיידי, כאן הגישה שונה. "הקבוצה לא מחפשת כותרות, אלא גישה. פחות רעש, יותר עומק", מסכם צדוק. לשאלה אם הקבוצה סימנה מטרות מפורסמות אין תשובה פומבית – מקרים כאלו נותרים בטיפול גורמי הביטחון הרחק מעין הציבור.

איראןהאקריםורוניססייברפישינגצ'ק פוינט
מצאתם טעות לשון?